电信级网络设备指标标准(总册).doc

QB-W-008-2007中国移动通信企业标准QB-W-008-2007电信级设备指标标准总册General Specification for Carrier Grade Evaluation System(CGES)版本号：1.0.02007-4-10实施2007-4-10发布中国移动通信有限公司 发布目录1.范围32.规范性引用文件33.术语、定义和缩略语64.项目研究背景84.1.电信级电路交换网设备和现有企业级网路设备的比较84.2.网络架构和标准适用范围95.电信级网络定义和特征105.1.可用性105.2.可管理性105.3.可扩展性115.4.安全性116.系统可用性评估方法116.1.系统评估层次116.2.建模方法126.2.1.WAP 1.X基本业务流程126.2.2.WAP1.x业务理想系统的Petri网模型136.2.3.WAP1.x业务实际系统的Petri网模型146.3.模型求解167.电信级网络指标要求框架177.1.电信级网络指标要求概述177.2.电信级网络指标要求和评估方法的关系188.编制历史18信息性附录A 设备硬件可用性评估方法201整网可用性（业务整体方案层）202节点可用性（业务系统层和业务逻辑设备层）212.1业务节点高可用性213 设备可用性（物理设备层）223.1硬件可用性223.2 软件可用性23信息性附录B 软件可用性评估方法231.基本概念231.1软件可用性预计和软件可用性评估231.2错误、缺陷、故障、失效242.软件开发流程保证242.1如何提高软件可靠性242.1CMM模型是什么262.2CMM4/5对高可用性的突出优势262.3实施有效的软件开发过程27信息性附录C 可用性指标预计（获取）方法论28前言传统电话网基于电路交换，这种网络经过长期的发展和完善，形成了成熟的技术体系和管理模式，能够长时间、稳定地向公众提供电信业务，传统电话网提供的业务通常被我们称为电信级业务。随着技术的发展和市场的变化，网络呈现宽带化、分组化的发展趋势，基于IP技术的分组交换网络已经成为未来全业务网络的事实标准，在IP网络之上的业务应用也逐渐走向通用服务器加载软件的方式。然而，旧有的数据路由交换设备和通用计算平台是为企业级应用设计开发的，设备在可用性、可管理性等多个方面不能达到电信级水平。随着电信网络IP化的发展，数据路由交换设备和通用计算平台在设计理念上发生了重大变化，目前已出现了大量电信级数据承载设备和数据计算设备。本标准的目的是对网络设备所应达到的电信级要求进行规范。本标准主要内容包括：电信级网络的定义和特征，系统可用性评估方法和电信级网络设备指标要求框架。本标准的附录A 数据设备硬件可用性评估方法为资料性附录本标准的附录B软件可用性评估方法为资料性附录本标准的附录C可靠性指标预计（获取）方法论为资料性附录本标准由中移有限技200755号印发。本标准由中国移动通信有限公司技术部提出并归口。本标准由归口部门负责解释。本标准起草单位：中国移动通信有限公司研究院本标准主要起草人：孙少陵、周兆民、孙金霞、毛叶琴、杨冬II1. 范围本标准对中国移动重要数据承载网络设备、核心控制网络设备和数据业务网络设备所应达到的电信级要求进行规范，本标准暂不对接入网末端设备进行规范。本标准为新建数据网络组网、设备选型，现有网络电信级评估和优化提供技术依据。本标准供中国移动内部适用。本标准中涉及到系统和设备这两个基本概念：系统指能够独立完成某项业务的本地站点,站点内包含能够独立完成整个业务流程的设备群；设备指业务系统内部每一个有独立物理封装的软硬件装置。在本标准中：l 必选：表示该条目是本规范必须达到的要求。本规范中没有特殊注明的要求均为必选要求。l 应、应该：文中出现的“应”和“应该”，其含义为“必选”。l 不允许（不可以）：标识该条目绝对禁止。l 可选：标识该条目确实可选。属于本规范非强制建议性要求。2. 规范性引用文件1GB/T14715-1993信息技术设备用不间断电源通用技术条件2GB/T17618-1998信息技术设备抗扰度限值和测量方法3GB/T18313-2001声学信息技术设备和通信设备空气噪声的测量4GB/T18698-2002声学信息技术设备和通信设备噪声发射值的标示5GB17625.1-1998低压电气及电子设备发出的谐波电流限值6GB4943-2001信息技术设备的安全7GB9254-1998信息技术设备的无线电骚扰限值和测量方法8ASTM F1757-1996（2002）计算机系统数字通讯协议的标准指南9IEEE 802.3以太网标准10IEEE 1156.1-1993（2003）微处理机.计算机模块的环境规范11IEEE 1156.2-1996（2003）计算机系统用环境规范12ISO/IEC 14776-112:2002信息技术小型计算机系统接口(SCSI)第112部分:平行接口-2(SPI-2)13ISO/IEC 14776-113:2002信息技术小型计算机系统接口(SCSI)第112部分:平行接口-3(SPI-3)14ISO/IEC 14776-115:2004信息技术小型计算机系统接口(SCSI)第115部分:平行接口-5(SPI-5)15ISO/IEC 14776-115:2004信息技术小型计算机系统接口(SCSI)第150部分:串行连接SCSI16ISO/IEC 14776-222:2005信息技术小型计算机系统接口(SCSI)第222部分:SCSI光纤通道协议第二版17ISO/IEC 14776-232:2001信息技术小型计算机系统接口(SCSI)第232部分:串行总线协议-2(SBP-2)18ISO/IEC 14776-321:2002信息技术小型计算机系统接口-3(SCSI-3)第321部分: SCSI-3块命令(SBC)19ISO/IEC 14776-326:2002信息技术小型计算机系统接口(SCSI)第326部分: 精简块命令(RBC)20ISO/IEC 14776-331:2002信息技术小型计算机系统接口(SCSI)第331部分:流命令(SSC)21ISO/IEC 14776-341:2000信息技术小型计算机系统接口-3(SCSI-3)第341部分:控制命令(SCC)22ISO/IEC 14776-342:2000信息技术小型计算机系统接口第342部分:控制命令-2(SCC-2)23ISO/IEC 14776-441:1999信息技术小型计算机系统接口-3第441部分:SCSI-3结构模型(SCSI-3 SAM)24ISO/IEC 9316:1995信息技术小型计算机系统接口-225中国移动支撑系统集中账号管理、认证、授权与审计（4A）技术要求中国移动通信有限公司26中国移动有限公司内部控制手册中国移动通信有限公司27中国移动支撑系统集中账号管理、认证、授权与审计（4A）技术要求应用系统改造规范中国移动通信有限公司28中国移动应用软件系统账号口令功能模块技术要求中国移动通信有限公司29中国移动数据网设备网管接口数据要求中国移动通信有限公司30中国移动数据网设备网管接口技术规范中国移动通信有限公司31中国移动专用IP承载网核心及汇聚路由器设备技术规范中国移动通信有限公司32中国移动专用IP承载网接入路由器设备技术规范中国移动通信有限公司33中国移动PC服务器设备技术规范中国移动通信有限公司34中国移动存储设备技术规范中国移动通信有限公司35中国移动PC服务器测试规范中国移动通信有限公司36中国移动存储设备测试规范中国移动通信有限公司37中国移动CNGI路由器设备技术规范-核心路由器分册中国移动通信有限公司38中国移动CNGI路由器设备技术规范-接入路由器分册中国移动通信有限公司39中国移动路由器测试规范（全国骨干路由器分册）中国移动通信有限公司40中国移动路由器测试规范（省网节点路由器分册）中国移动通信有限公司41中国移动路由器测试规范（城域核心路由器分册中国移动通信有限公司42中国移动路由器测试规范（城域汇聚路由器分册）中国移动通信有限公司43中国移动 IPSec总体技术要求中国移动通信有限公司3. 术语、定义和缩略语设备关键部件设备内部对该设备业务正常运行起决定性作用的板卡及电源、风扇等硬件功能模块，设备内任一关键部件缺失，设备无法正常提供服务。设备可更换部件设备内部可根据需要或在故障时进行更换的板卡及电源、风扇等硬件功能模块，不包括CPU，内存等器件级部件。设备可扩展单元设备内部可根据需求时进行扩展的板卡及电源、风扇等硬件功能模块，不包括CPU，内存等器件级部件。ATCA 先进电信计算体系结构Advanced Telecom Computing Architecture用于下一代电信设备的板卡、底板以及软件规范。BELLCORE 贝尔通信研究Bell Communications Research贝尔通信研究是代表RBOCs进行研究与开发的组织。CISPR国际无线电干扰特别委员会Comite International Special des Perturbations Radioelectriques EN55022 标准欧洲标准关于信息技术设备.无线电干扰特性.限值和测量方法的标准FCC 联邦电信委员Federal Communications CommissionIEC 国际电工委员会International Electrotechnical Commission 是撰写并分发电子产品和元件标准的行业性组织。IP因特网协议Internet Protocol是TCPIP栈中的网络层协议，它提供一个无连接的互联网服务。IP提供寻址的功能、服务类型的规范、分段存储和重新组合、以及安全的特性。记录在RFC791文件中。IPSec Internet Protocol security IPSEC是一系列基于IP网络（包括Intranet、Extranet和Internet）的，由IETF正式定制的开放性IP安全标准。IP专网中国移动新一代面向多种业务的、能够同时支持语音、视频、数据等多业务的核心承载网络。ITU-T国际电信联盟电信标准化部MHz兆赫MMS多媒体信息服务Multimedia Message Service短信技术开发最高标准的一种MMSC多媒体消息业务中心Multimedia Messaging Service Center MTBF平均无故障时间MTTR平均故障修复时间PSD 部分系统中断时间Partial System DowntimePUSH业务一种信息选择模式 , 把恰当的信息主动推到用户面前RBD建模可靠性框图建模Relay继电器SEI-CMMSEI 美国卡内基梅隆大学软件工程研究院Software Engineering InstituteCMM 能力成熟度模型Capability Maturity Model 该模型共分5级, 每级对应软件企业过程能力成熟度的不同水平Server 服务器一种智能设备，通常是计算机，能对其他智能设备（通常是计算机或设备)提供服务。一种不对称的关系，通常是第二方（也称client)发送请求，而server响应这些请求。TSD 总系统中断时间Total System DowntimeVPN虚拟专用网络Virtual Private Network 通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道WAP 无线应用协议Wireless Application Protocol 提供了通过手机访问互联网的途径WAPGW 无线应用协议网关Wireless Application Protocol Gateway4. 项目研究背景传统电话网基于电路交换，这种网络经过长期的发展和完善，形成了成熟的技术体系和管理模式，能够长时间、稳定地向公众提供电信业务，传统电话网提供的业务通常被我们称为电信级业务。随着技术的发展和市场的变化，网络呈现宽带化、分组化的发展趋势，基于IP技术的分组交换网络已经成为未来全业务网络的事实标准，在IP网络之上的业务应用也逐渐走向通用服务器加载软件的方式。4.1. 电信级电路交换网设备和现有企业级网路设备的比较现有的基于IP技术的网络设备和应用多为企业级水平，在设备设计、制造、维护、管理等方面与电信网之间存在较大差别，表41对电信交换机和现有企业级网络设备从八个方面进行了比较。项目电信交换机现有企业级网络设备设备设计单设备模块化设计，故障影响局部，且易于定位在共享的硬件平台上以软件方式实现各种逻辑功能，故障影响全局，不易于故障定位设备制造设备通常完全由一个厂家开发制造，故障时责任主体单一设备通常由多厂家系统集成，故障定位困难，故障时责任主体不明确，延长了故障定位和恢复时间设备配置低速连接，电缆多，连接关系复杂，硬件配置复杂业务较单一，局方人员只要对业务熟悉，很容易配置和维护，软件配置简单高速连接，电缆少，硬件配置简单；涉及技术领域太多，业务种类丰富，且不同的设备往往来自不同的厂家，软件配置复杂，要求维护人员有相关领域的技术背景和积累，对局方人员技术水平要求高冗余备份采用冗余设计，更换故障部件不需要重新配置，真正的“即插即用”插上就能用。故障部件替换后（如双机中一个单机故障），往往需要对更换后的部件手工进行重新配置，甚至重新安装操作系统操作维护单一供应商开发和提供，设备一体感强，一个操作台实现所有部件的管理不同设备来自不同的设备商，且设备间松耦合，如服务器和存储单独采购，设备间的维护管理风格、界面不统一。对不同设备的管理配置要在不同的设备上进行，设备一体感较差资源共享资源专用，关键资源按最大配置设置，在小容量的时候成本高，但升级或扩容不会影响现有业务资源共享度高，资源不够时通过增加CPU、服务器数量等方式扩展，导致多业务在多服务器上混乱分布，不利于后续管理业务可扩展性设备业务处理流程较固定，接口扩展困难，难以实现业务的扩展采用标准架构、标准接口，业务扩展非常容易，如业务种类增加非常方便安全性采用私有设计，专有连接，私有接口，安全性好，抗攻击能力强，不需要特殊的技术就可以保证设备和网络的安全设备趋向开放性和标准化，采用IT设备，标准OS，TCP/IP标准协议，以太网连接，设备和网络容易遭到攻击，必须借助于其它安全技术和特殊设备来保证设备和网络的安全，如IPSec、VPN、负载均衡、防火墙等表 41 电信交换机和现有企业级网络设备对比目前，大量采用通用服务器加载业务软件方式开发的网络设备，其硬件平台所使用的服务器设备在可用性、可管理性、可扩展性方面都难以达到电信级水平。未来基于IP技术的核心网络系统和数据业务系统将逐渐走向运营商业务体系的核心，同时电信网络将延伸到企业和家庭，网络设备必须达到电信级服务质量，运营商才能够在未来的综合信息服务市场上竞争中取得成功。本标准从网络系统可用性评估、网络设备要求、系统要求三大方面对电信级系统及设备进行评估和要求。4.2. 网络架构和标准适用范围随着网络宽带化、分组化的趋势，NGN网络将演进为以IP为核心承载、软交换为核心控制的核心网络，在核心网络之上，形成丰富灵活的以IT技术为基础的业务网络，网络将采用扁平化架构。本标准针对中国移动主要核心承载网络、核心控制网络和业务网络设备进行电信级指标要求。网络接入末端设备和支撑网络设备可参考本标准执行，但本标准不对网络接入末端设备和支撑网络设备进行强制要求。如下图所示：5. 电信级网络定义和特征电信级网络与企业级网络相对应，是以可运营为核心，为用户提供7X24小时不间断可用服务的网络。电信级网络应具备以下特性：l 高可用性（Availability）：可以提供长时间不中断的、可用的服务；l 高可管理性（Serviceability）：基于标准技术，可进行远程的故障管理、性能管理、配置管理、安全管理；l 高可扩展性（Scalability）：支持平滑单点容量上的扩展性和多点地域上的扩展性；高安全性（Security）：具有较高的安全特性。5.1. 可用性可用性是一个统计概念，具体计算方法是：系统可用性（Availability）=MTBF/(MTBF+MTTR)其中：MTBF指平均无故障时间，MTTR指平均故障修复时间。高可用性对于运营网络非常重要。具体体现为可长时间不间断的为用户提供网络服务。设备的高可用性是设备软硬件架构和功能模块可用性的综合，主要影响对象包括：（1）硬件（2）操作系统（3）中间件（4）数据库（5）应用软件。系统的高可用性是通过高可用性组网技术实现的。5.2. 可管理性可管理性对于运营商网络至关重要。电信级网络应当提供符合中国移动标准接口和标准协议的远程故障管理、性能管理、配置管理、安全管理等功能。电信级网络中的网元设备应支持开放标准管理接口连接集中网络管理系统。5.3. 可扩展性设备应支持设计规格范围内的线性扩展能力。在规格扩展范围内，系统性能不足时，可在纵向通过增加硬件模块、软件模块扩展系统的处理能力，也可在横向通过集群、47层交换等方式增加系统的可扩展性。5.4. 安全性系统安全性包括网络安全、主机安全、操作系统安全、数据库安全、应用安全等等，电信级网络应从组网和设备两个层次对安全性进行要求，以保证电信级网络和设备在管理面、控制面和数据面的安全。6. 系统可用性评估方法数据业务系统及核心网络控制系统具有灵活多样的特征，不同系统的组织结构具有较大差异。因此，难以用一个固定的计算公式对不同系统进行评估。针对大量系统可用性不高的现状，本标准提出系统可用性评估通用方法，作为优化系统结构、提高系统可用性的基础。本评估方法重点用于对局域内的数据业务系统或核心网络控制系统的本地站点进行电信级评估，整个业务网络或核心控制网络由异地多站点构成，对整个业务网络或核心控制网络的可用性分析涉及到业务路由、数据和应用的容灾的技术，这些内容不在本标准约束范围内。本标准提供的可用性评估方法也不含对传输网络的可用性分析。6.1. 系统评估层次对于复杂系统可以采用分层的方法对系统进行解析，针对每一层次分别进行分析和要求，再将低层次拼装为高层次系统。数据业务可按业务提供粒度划分为3个层次。如图61所示。业务整体方案层：指特定业务（如：WAP业务）在全网范围内的部署方案，包括节点间的路由策略、站点的异地容灾保护等；业务系统层：指能够独立完成某项业务的本地站点,以及业务系统内部完成业务流程中一个独立功能环节的设备群，如：防火墙设备双机、服务器集群等；物理设备层：业务系统内部每一个有独立物理封装的设备。中国移动WAP业务全网数据业务方案WAP BJ1WAP BJ2WAP GZ1。业务整体方案层业务系统层物理设备层图61 系统层次结构图在电信级网络特征中，最重要的特征是可用性。系统的整体可用性体现在网络系统从微观到宏观的多个层面，保证电信级网络需要对网络中各个层面进行全面考察。采用自底向上的研究方法，分物理设备层、业务系统层和业务整体解决方案层三个层面，在各层定义不同粒度的可用性指标，分别进行建模，进而在此基础上进行可用性综合评价。在物理设备层，从物理设备故障概率的角度分析可用性。业务系统层：用随机Petri网重点分析典型的逻辑系统：集群系统、双机备份等，分别进行建模并进行定量分析。对于给定拓扑的业务系统，可通过业务流程和物理设备层、业务逻辑设备层的模型求解，定量的对业务系统进行可用性分析，得到整个系统的平均无故障时间，评估响应时延等指标。业务整体解决方案层主要涉及业务在不同站点间的路由策略、异地容灾等问题，不在本规范约束范围内。因此，本规范不对业务整体解决方案层技术提出要求。6.2. 建模方法本节以WAP系统节点为例，介绍从实际系统拓扑到形式化数学模型的建模过程。6.2.1. WAP 1.X基本业务流程现网WAPGW系统大部分都采用集群组网，其典型组网图如图63所示：图63 现网WAPGW系统集群组网图由图63可以看出WAPGW系统中关键的设备包括：防火墙、局域网交换机、负载均衡器、WAP1.x协议栈集群、WAP2.0协议栈集群、PPG集群、用户数据以及数据库服务器。分析WAP1.x业务，其业务流经过的关键路径有WAP1.x集群、主备均衡器、防火墙以及用户数据/数据库服务器，其基本业务流程如图64所示：图64 WAP1.x基本业务流程6.2.2. WAP1.x业务理想系统的Petri网模型在理想情况下，不考虑硬件设备的故障，可以使用Petri网模型对WAP 1.X业务理想系统进行建模，如图65所示。图65 WAP 1.X业务理想系统的Petri网模型表：符号含义可实施谓词任务到达防火墙处理负载均衡器处理WAP1.X集群处理用户数据/数据库服务器处理6.2.3. WAP1.x业务实际系统的Petri网模型在实际系统中，不仅仅考虑业务系统的性能参数，而且需要考虑各个单设备及子功能模块的资源可用性指标。它们之间通过变迁上的实施谓词结合在一起，如图66所示。图66 WAP 1.X业务实际系统的Petri网模型表：符号含义可实施谓词任务到达防火墙处理主用负载均衡器处理备用负载均衡器处理WAP1.X集群处理由WAP1.X集群字模型决定主用用户数据/数据库服务器处理备用用户数据/数据库服务器处理主用负载均衡器正常主用负载均衡器故障主用用户数据/数据库服务器正常主用用户数据/数据库服务器故障其中由WAP1.X集群字模型决定，该子模型如图67（设该集群由3台均衡服务器组成，并采用最小期望等待时间调度策略）。图67 通过该模型可以求得与相关的实施速率参数，将其带入WAP 1.X业务实际系统的Petri网模型中即可求得整个模型的相关指标。6.3. 模型求解 在建立了系统的Petri网模型之后，需构造与数据业务系统随机Petri网模型相对应的马尔可夫链，并基于马尔可夫链的稳定状态概率进行所要求系统的可用性分析。通过对马尔可夫链稳态方程的求解，最终可得到系统可用性公式。在公式中代入基本的设备可用性参数，即可求得整个系统的平均无故障时间、平均处理时延等参数。需要输入的设备参数包括：l 设备处理能力（服务器的处理速率）l 设备能容纳的最大用户数（业务系统的最大队列长度）l 设备的MTTF和MTRFl 业务流量负载（任务的到达速率）通过可用性方程计算，可得到以下系统可用性指标：l 系统的平均响应时延l 系统平均无故障运行时间l 系统理想状态下的响应时间与实际系统响应时间的比值使用数学建模的方法将实际业务系统转换成形式化的数学模型，进而对模型求解计算系统可用性。在建模求解的过程中，有以下三个因素将直接影响建模结果的准确性，包括：l 设备的平均无故障时间和故障修复时间是否符合实际情况；l 集群系统、双机热备系统的倒换性能；l 输入的业务流量负载是否与现网实际运行流量模型相符。以上三方面内容与设备的具体实现和性能相关，建模本身无法解决这些问题，需要在参数代入时，尽量使用与实际相符的指标，这样才能够保证建模结果的准确性。7. 电信级网络指标要求框架7.1. 电信级网络指标要求概述本标准从设备和系统两个粒度对网络电信级特征进行要求。中国移动电信级设备指标标准设备要求分册对中国移动网络系统中所使用的各种主要设备所应具有的电信级指标进行了明确的要求。该标准从设备可用性要求、可管理性要求、可扩展性要求、安全性要求和规格及电气特性要求等六个方面进行要求。这些指标要求作为中国移动电信级设备的入门级要求对新入网设备和现网设备进行规范。考虑到全网系统改造成本和经济受益等因素，标准又将网络系统分为商用系统和试点系统两类：商用系统指正式上线投入运营的系统；试点系统指未正式上线的试点试验系统。针对这两类系统，标准按照不同尺度分别进行要求。具体参见中国移动电信级设备指标标准设备要求分册。中国移动电信级设备指标标准系统技术要求分册对中国移动网络中各本地站点系统所应采用的电信级组网技术进行了要求。该标准提出了设备双机热备份技术和集群技术的要求。在此基础上，标准考虑到不同系统的发展范围、用户总数、经济受益和社会影响力等因素，将系统分为重要系统、一般系统和合作系统三类，并针对不同类别业务系统分别进行要求。具体参见中国移动电信级设备指标标准系统技术要求分册。7.2. 电信级网络指标要求和评估方法的关系本标准旨在规范和提高中国移动网络设备电信级水平。可用性指标作为设备电信级特征中最重要的指标之一，直接关系到系统服务能力，同时在电信级四项主要特征中，可用性能够在一定程度上进行定量分析，标准首先在总册第6章提出了一套定量评估系统可用性的方法，用于为新建系统设计和现有系统可用性优化改造提供理论依据。基于该理论分析的系统可用性评估软件工具正在研究开发过程中，该工具开发完成后，将可直接在实际网络建设、评估和优化过程中提供参考。考虑到标准的可实施性，设备要求分册和系统技术要求分册是在对设备电信级实际指标研究和设备支持情况调研的基础上形成的电信级设备的指标要求，用于对新设备采购、现有设备整改提供入门级的电信级要求标准，保证中国移动网络系统逐渐向电信级水平演进。8. 编制历史版本号更新时间主要内容或重大修改1.0.02007/1/301.0.0版本信息性附录A 设备硬件可用性评估方法1整网可用性（业务整体方案层）系统的可靠性计算很大程度上取决于系统故障定义。系统故障定义不同，算法也不同。比如，系统中某些单元故障将导致整个系统瘫痪，而某些单元故障只会导致系统部分功能丧失。根据Bellcore SR-TSY-001171以及TL9000中的相关定义，系统级故障基本可以分为两大类：TSD(Total System Downtime)和PSD(Partial System Downtime)。计算系统的可靠性/可用性指标主要是计算各个Di（第i个单元的年中断时间Downtime）。首先需要进行一个简单的故障模式影响分析，以确定系统各组成单元中，哪些会引起系统TSD，哪些会引起PSD。然后主要的任务就是计算这些单元的Di。根据上面提供的故障定义，明确对网络可用性指标的定义。将整个网络的各种故障分别列出，然后根据故障的影响分别计算出单个故障的Di。其中对于一个网络级的保护方式需要从一个整体上进行分析和考虑。整网的总容量则需要根据网络实际情况来确定。45M45M2M2M155M图B-1 网络可靠性中业务接入总量示意图见图B-1 实例，整个环的传输容量为155M，而实际的接入总容量为45+45+2+294M，如果是环倒换失效则影响整个环总容量94M，如果只是单个节点的接入端口失效则只影响相应的容量。需要注意的是，对于总容量的计算TL9000标准中没有确切的定义。上述总容量的算法仅为一种示例。部分产品上有单独的算法。比如传输产品，在电信进行网络可用度评估的时候，客户认定的总容量为45+247M的“电路容量”。因为运营商认为其提供给客户是专线电路，要包括端到端，而不仅仅是单端的接入用户，所以两个接入点才能统称为一条电路。因此总容量为47M电路容量。参照通信设备业界网上运行数据统计方法标准TL9000，对于网络的可靠性指标，采用如下的统计方法：其中：整个网络的年中断时间（折算到整网总容量）；第i个节点的年中断时间；第i个节点故障所影响容量；整个网络的总容量；n网络中设备的台数。2节点可用性（业务系统层和业务逻辑设备层）2.1业务节点高可用性由业务逻辑设备组成高可用性的业务系统，主要是减少业务逻辑间的耦合性，增加冗余业务流程来实现，使得某个业务逻辑设备的单点故障不影响其它业务逻辑的功能，业务网逻辑设备的切换不影响其它业务逻辑。在业务系统的设计中，应充分考虑增加串行业务流程的冗余度的同时，降低业务逻辑间的耦合性，以保证整个业务系统的高可用性。图B-2见图B-2所示，在业务流程中，至少存在一条冗余业务链路，当主业务流程出现故障时（如A1B1C1）,业务能自动切换到备用业务流程：A2B2C2，并且要求此切换对客户是透明的。存在双机切换的设备应该避免直接串联，而通过中间的非双机切换设备来进行故障隔离或交叉连接来实现故障隔离，减少业务网逻辑设备间的耦合，如Error! Reference source not found.所示，任何业务部件的故障切换，都不会引起其它业务逻辑的切换。而Error! Reference source not found.中主业务流程中任何一个业务逻辑的故障，使其它业务流程也进行切换，从而整个业务流程从主业务流程切换到备业务流程，若每业务流程主备切换成功率为90，则整个业务流程切换成功率为：0.9*0.9*0.9=0.729，业务可靠性大大降低。当然，以上的分析不适用于组网设备，如上图中，若A为防火墙，B为交换机，则A和B之间存在环路（B之间也应该有TRUNC），这时，就需要有STP算法，在切换时，就存在STP收敛的问题。3 设备可用性（物理设备层）各层面可用性最终归结到物理设备可用性指标的获取，物理设备可用性评估是电信级数据网可用性研究的基础。设备分为硬件和软件两部分，软硬件可用性在特性上具有很大差别。（1）物理退化。软件不存在物理退化现象，硬件失效则主要由于物理退化所致。这就决定了软件正确性与软件可靠性密切相关，一个正确的软件任何时刻均可靠。然而一个正确的硬件元器件或系统则可能在某个时刻失效；（2）复杂性。软件内部逻辑高度复杂，而硬件内部逻辑较为简单，这就在很大程度上决定了设计错误是导致软件失效的主要原因，而导致硬件失效的可能性则相对很小。（3）唯一性。软件是唯一的，软件拷贝不改变软件本身，而任何两个硬件不可能绝对相同。这就是为什么概率方法在硬件可靠性领域取得很大成功，而在软件可靠性领域不令人满意的原因。由于上述种种原因，软件可靠性比硬件可靠性更难保证。所以，在业界软件可靠性的度量工作进展一直缓慢，软件可靠性的预计工作更是鲜有论述，争议较多。综合考虑软件失效和硬件失效，则系统可用度计算公式为：通常设备的可用性度量包括可用性评估和可用性预测。可用性评估指收集整理系统测试和系统运行期间得到的失效数据，并进行统计推理，断定系统当前的可用性。它是对从过去到当前点所得到的可用性的度量。其主要目的是评价当前可用性，并确定一个可用性模型是否为回溯的正确依据。可用性预测指利用可知的任何软件度量与规程确定未来软件的可用性。单一厂家提供的设备通常提供整个设备的可用度，可以以该数据作为可用性预测的依据，并在系统上线运行后对其故障情况进行统计，并根据统计数据进行可用性评估；对于软硬件由不同厂家提供的设备，则需要分别对其可用性进行预测和统计。3.1硬件可用性硬件的故障往往由于物理(包括化学) 的机制所致, 因而描述硬件可靠性的模型比较单一, 硬件失效率符合浴盆曲线。硬件可用性可通过可用度或年停机时间表示：可用度年停机时间Downtime876060(1-A) mins/yr。3.1.1 MTBF预测方法目前业界对于硬件MTBF的预测可以通过分析器件可用性、单元（如板卡）可用性以及系统可用性（如冗余设计中的备份关系）得到整个硬件设备的可用性指标，有比较成熟的方法，参见附件。3.1.2 MTTR预测方法因设备的应用场景不同，客户不同，维护方式不同，所以预计值或者经验值都仅是一个参考，如必要，可以参考BELLCORE GR 512，根据业界情况设定MTTR。表B-1 GR 512推荐的MTTRSite ClassificationOn-site repair time (hours)Dispatch time (hour)Total Service Restoral time (hours)Attended site123Unattended site134在系统招标时，厂家应承诺MTTR时间，在可用性评估时，以此事件为准。3.2 软件可用性目前业界软件可靠性预计方法还不成熟，所以单独的预测和评估软件可靠性指标是困难的。软件可用性的高低很大程度上取决于软件生产过程中开发流程和质量管理体系，可以通过对设备厂家软件开发流程和质量管理体系的检查、评估对其软件产品的可用性进行判断，以作为设备入网的依据。信息性附录B 软件可用性评估方法1.基本概念1.1软件可用性预计和软件可用性评估通常的软件可靠性度量包括可靠性评估和可靠性预测。可靠性评估指收集整理系统测试和系统运行期间得到的失效数据，并进行统计推理，断定系统当前的软件可靠性。它是对从过去到当前点所得到的可靠性的度量。其主要目的是评价当前可靠性，并确定一个可靠性模型是否为回溯的正确依据。可靠性预测指利用可知的任何软件度量与规程确定未来软件的可靠性。可靠性领域中习惯将可靠性预测称为可靠性预计。1.2错误、缺陷、故障、失效关于故障、失效等术语，在硬件可靠性中业界是不明确的，存在一定的歧义。本文中为避免歧义，约定采用软件可靠性领域的术语定义，如下：（1）软件错误（Software Error）：指在软件生存期间内的不希望或不可接受的人为的错误，其结果导致软件缺陷的产生，是一种人为的过程，相对于软件本身来说是一种外部行为。比如，将求平均值当作求最大值，和将输出电压值当作输出电流值等都是软件错误。（2）软件缺陷（Software Defect）：是存在于软件之中的那些不希望或不可接受的偏差，其结果是软件运行于某一特定的条件时出现软件故障，这时称软件缺陷被激活。以静态形式存在于软件内部。比如，少一个逗号、多一条语句等都是软件缺陷。当软件意指程序时，软件缺陷与软件bug同义。（3）软件故障（Software Fault）：是指软件运行过程中出现的一种不希望或不可接受的内部状态，可能引起一个功能部件不能完成所要求的功能的一种意外情况，若故障不加处理，便可能产生失效，是一个动态行为。比如，软件处于执行一个多余循环过程时就是一个软件故障。（4）软件失效（Software Failure）：软件运行时产生的一种不希望或不可接受的外部行为结果，也就是表现出的功能与用户需求不一致，功能部件执行其规定功能的能力终止，用户无法完成所需要的应用。它们的关系如下：软件错误 软件缺陷 软件故障 软件失效。软件失效是最终表现在用户面前的结果。2.软件开发流程保证软件可靠性数据是可靠性评估的基础。要进行有效的软件可靠性评估，首先必须建立软件错误报告、分析与纠正措施系统。按照相关标准的要求，制定和实施软件错误报告和可靠性数据收集、保存、分析和处理的规程，完整、准确地记录软件测试阶段的软件错误报告和收集可靠性数据。而国内对于软件可靠性的研究工作起步较晚，在软件可靠性量化理论、度量标准（指标体系）、建模技术、设计方法、测试技术等方面与国外差距较大。国内多数软件的生产方式还处于计算机时代的早期阶段，缺点很明显，主要表现在：1、透明度差；2、软件交付系统联调前只靠自检，质量得不到保证；3、用户对交付的软件可靠性缺乏信心。多数所谓的“软件测试”仅仅对几个预先指定的用例进行一下表演就算通过。目前还没有像硬件那样完善的检验体系，交付软件的质量不高。典型统计表明，“开发阶段平均每千行代码有50-60个缺陷，交付后平均每千行代码有15-18个缺陷”，有时会留下严重隐患。软件质量明显成为软件产品开发的薄弱环节。2.1如何提高软件可靠性软件与硬件不同, 不会因多次使用而发生失效, 硬件的故障往往由于物理(包括化学) 的机制所致, 因而描述硬件可靠性的模型比较单一, 硬件失效率符合浴盆曲线。而软件的故障不是由于物理机制所造成的, 软件不存在故障率呈增长趋势的耗损故障期, 软件的缺陷纠正一个就减少一个, 不会重复出现。软件开发周期错误和软件故障分类的百分数分别如表C-1和表C-2所示。表C-1 软件开发周期各阶段错误的百分比软件开发周期各阶段需求分析设计编码与单元测试综合测试运行与维护错误百分比（%）551713105表C-2 软件故障分类的百分比故障分类需求变化逻辑设计数据相互环境人的因素计算文件提供其他故障分类百分比（%）36286655527由表C-1、表C-2的统计数据表明，在软件生命周期的各个阶段都会可能发生软件错误或故障，为了保证软件的可靠性，应在软件生命周期的各个阶段千方百计地减少缺陷。同时，统计数据也表明，软件错误的修改费用也是越晚越高的。一个好的软件开发流程可以提高软件开发团队的工作效率，控制开发过程中的风险，保证软件开发进度并且提高软件产品质量。而根据国外软件企业的经验，引入CMM正是解决这一问题的有效途径。CMM方法的初始缺陷数主要取决于代码量和过程能力等级。不同的过程能力等级对应的初始缺陷比率是不同的(见表C-3)。表C-3 CMM过程能力登记对应的初始缺陷比率SEI的CMM等级成熟度剖面1996年11月，542个组织设计缺陷密度缺陷数/KSLOC*，(所有的严酷度)5最佳的： 0.4%0.54可管理的：1.3%13可定义的：11.8%22可重复的：19.6%31初级的：66.9%5等级外的剩余的公司6通过CMM对软件过程的合理控制，可以有效控制软件开发的流程，同时软件质量也将有明显提高。随着CMM级别的提高，软件可靠性将有数量级的改进。2.1CMM模型是什么SEI-CMM为“Computer Capability Maturity Model”(软件能力成熟度模型)的缩写，是由美国卡内基梅隆大学的软件工程研究所研究制定，并随后在全世界推广实施的一种软件评估标准，主要用于软件开发过程和软件开发能力的评估和改进。软件过程成熟度是一个特定过程被明确地定义、管理、测量、控制、并且是有效的程度。成熟度意味着能力上的增长潜力，并且表明一个组织软件过程的丰富性和在遍及组织的项目中运用它时的一致性。在成熟组织中，通常通过文档和培训使全组织有关人员对软件过程都能很好的了解，并且使该过程得到其用户不断的监控和改进。一个成熟软件组织上能力是已知的。软件过程成熟度意味着，由于运用组织的软件过程使过程纪律性一致增强，从而其软件过程所导致的生产率和质量能随时间的推移得到改进。CMM把软件开发过程的成熟度由低到高分为5级，即初始级、可重复级、已定义级、已管理级和优化级。随着等级的提高，逐步降低了软件开发风险，缩短了开发时间，减少了软件开发的人力物力成本，降低了灾难性的错误发生率，提高了质量。(a) 初始级（CMM1） 软件过程的特点是无秩序的，偶尔甚至是混乱的。几乎没有什么过程是经过定义的，成功依赖于个人的努力。(b) 可重复级（CMM2） 已建立基本的项目管理过程去跟踪成本、进度和功能性。必要的过程纪律已经就位，使具有类似应用的项目，能重复以前的成功。(c) 已定义级（CMM3） 管理活动和工程活动两方面的软件过程均已文档化、标准化、并集成到组织的标准软件过程。全部项目均采用供开发和维护软件用的组织标准软件过程的一个经批准的剪裁版本。(d) 已管理级（CMM4） 可预测的软件过程，制定了软件过程和产品质量的详细的度量标准，软件过程和产品的质量都被开发组织的成员所理解和控制。(e) 优化级（CMM5） 持续改善的软件过程。加强了定量分析，通过来自过程质量反馈和来自新观念、新科技的反馈使过程能持续不断地改进2.2CMM4/5对高可用性的突出优势CMM4的显著特征即为可度量和可管理，制定了软件过程和产品质量的详细而具体的度量标准，软件过程和产品质量都可以被理解和控制。利用一个全组织的软件过程数据库收集和分析从